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© Verfahren zum Betrieb eines programmgesteuerten Automatisierungsgerats 



Fur ein programmgesteuertes, redundant mit zwei Teilsy- 
stemen (AB) aufgebautes sicherheitsgerichtetes Automati- 
sierungsgerat (AG) wird vorgeschlagen. zwei identische 
Programmablaufe vorzusehen und vom Betriebssystem (BS) 
zu Beginn bestimmter Programmabschnitte eine gegensei- 
tige Synchronisation der Programmablaufe durchzufuhren. 
Diese Synchronisation ist auch vom Anwenderprogramm an 
beliebigen Programmpunkten aufrufbar. Das Betriebssy- 
stem streut ferner zur Minimierung der Prozessorbelastung 
die einzelnen Elemente eines Selbsttests in Abhangigkeit 
von der momentanen Proze&belastung in den Programmab- 
laufein. 
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li Verfahren zura Betrieb eines programmgesteu- 
erteri, redundant mit zwei Teilsystemen aufgebau- 
ten Automatisierungsgerats fur einen technischen 
ProzeB, insbesondere fur eine Brenneranlage, da- 
durch gekennzeichnet, daB zwei identische Pro- 
grammablauf e vorgesehen sind und das Betriebssy- 
stem zu Beginn bestimmter Programmabschnitte 
eine gegenseitige Synchronisation der Programm- 
ablaufe vornimmt 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB die die gegenseitige Synchronisation 
vornehmende Synchronisation der Programmab- 
lauf e der beiden Teilsysteme (A, B) vom Anwender- 
programm an beliebigen Programmpunkten auf- 
rufbarist 

3. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet daB ein Selbsttest in einzelne Selbst- 
testelemente aufgeteilt und vom Betriebssystem in 
Abhangigkeit von der momentanen Prozessorbela- 
stung in den Programmablauf eingestreut werden. 

4. Verfahren nach ein em der vorhergehenden An- 
spruche, dadurch gekennzeichnet daB vom Be- 
triebssystem bei Auftreten eines Fehlers in einem 
TeilprozeB dieser passiviert und ohne in den Stopp- 
Zustand zu gehen ein entsprechender Ersatz-Teil- 
prozeB zugeschaltet wird. 

5. Verfahren nach einem der vorhergehenden An- 
spruch e, dadurch gekennzeichnet daB bei Un- 
gleichheit redundanter Eingangssignale vom Be- 
triebssystem eine Unterscheidung zwischen lauf- 
zeitbedingten Signaldiskrepanzen und echten Feh- 
lern durchgefuhrt wird, wobei die Diskrepanzzei- 
ten vom Anwenderprogramm parametrierbar sind. 

6. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB das Be- 
triebssystem zur Behandlung ein- oder zweikanalig 
ausgefuhrter ProzeBperipherie eingerichtet ist 

7. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB fur den Si- 
cherheitsbetrieb das Anwenderprogramm in einen 
nicht fluchtigen Speicher geladen wird und das Be- 
triebssystem zur Erkennung dieses Speicherme- 
diums eingerichtet ist und damit zwischen Test- und 
Sicherheitsbetrieb unterscheiden kann. 

Beschreibung 

Die vorliegende Erfindung betrifft ein Verfahren zum 
Betrieb eines programmgesteuerten Automatisierungs- 
gerats gemaB dem Oberbegriff des Anspruchs 1. 

Aufgabe der Erfindung ist es, ein Verfahren anzuge- 
ben, mit dem ein derartiges Gerat sicher und von der 
Anwenderseite gesehen flexibel und mit groBer Verfug- 
barkeit betrieben werden kann. 

Diese Aufgabe wird erfmdungsgemaB durch die im 
Kennzeichen des Anspruchs 1 angegebenen Merkmale 
gelost 

Weitere Ausgestaltungen der Erfindung, welche 
nachfolgend anhand der Figuren naher erlautert wer- 
den, sind Gegenstande der Unteranspruche. 

Fig. 1 zeigt ein zweikanalig redundant aufgebautes 
sicherheitsgerichtetes Automatisierungsgerat AG, mit 
seinen Teilsystemen A und B t welches einen technischen 
ProzeB P, beispielsweise eine Olbrenneranlage mit den 
Ausgangssignalen A 3 und A b steuert Geber G liefern die 
Eingangssignale E a und Eb fur das Automatisierungsge- 



rat Die Teilsysteme \ A und B arbeiten stets niit identi- 
schen Programmen und synchronisieren sibh uber eine 
Rechnerkopplung, welche mit K angedeutet ist 
Redundante Automatisierungsgerate erfordern eine 
5 Synchronisation der Teilgerate. Bisher bekannte Gerate 
synchronisieren sich nach einem starren Zeitraster, z. B. 
taktsynchron, befehlssynchron oder per Software, in 
groBeren Zeitabstanden. Bei der Erfindung hingegen 
wird ein flexibler Mittelweg gewahlt derart, daB das 
10 Synchronisationsraster an jeden Anwendungsfall an- 
paBbar ist indem vom Betriebssystem ein minimales 
Synchronisationsraster vorgegeben wird (Fig.3X das 
der Anwender durch Aufruf von Betriebssystemfunktio- 
nen beliebig verfeinern kann. Dadurch kann beispiels- 
j5 weise die maximale Alarmreaktionszeit begrenzt wer- 
den. Der Vorteil dieses Verfahrens liegt darin, daB einer- 
seits unndtige Synchronisationen, die eine zeitliche Be- 
lastung des Prozessors bedeuten konnen, vermieden 
werden und andererseits keine Spezialkomponenten 
20 (Vergleicher) benotigt werden. 

Oft wird fur zweikanalige, sicherheitsgerichtete Auto- 
matisierungsgerate ein Selbsttest des Gerats im laufen- 
den Betrieb gefordert urn durch Offenbarung von Fehl- 
funktionen Schaden fur Personen und Umwelt zu ver- 
25 hindern. Die Laufzeit der Selbsttestroutinen liegt im Mi- 
nutenbereich. Die Testzykluszek, d. h. die Zeit innerhalb 
der ein Selbsttest vollstandig durchlaufen sein muB, ist 
abhangig vom Anwendungsfall, z. B. Bergseilbahnen, 
Brennersteuerungen. In herkommlicher Weise wird 
30 hierzu das gesamte Selbsttestprogramm in Scheiben un- 
terteilt und diese in einer starren Folge bearbeitet Dies 
fuhrt zu einem unnotig haufigen Selbsttest da die Gro- 
Be der Testscheibe nach der ungunstigsten Prozessor- 
belastung ausgelegt werden muB. 
35 Mit der Erfindung wird dagegen die Testscheiben- 
menge selbsttatig optimiert In Abhangigkeit von der 
momentanen Prozessorbelastung bestimmt der Selbst- 
testmanager des Betriebssystems BS — siehe Fig. 3 — 
die Anzahl der zu aktivierenden Testscheiben. Der Vor- 
40 teil dieses Verfahrens besteht in der Minimierung der 
Prozessorbelastung durch Selbsttest und damit Erho- 
hung der Nutzleistung des Gerats. 

Die Normalreaktion eines zweikanaligen Sicherheits- 
systems bei Auftreten eines Fehlers ist der Obergang in 
45 die "sichere Ruhelage", d. h. Stopp des gesamten Auto- 
matisierungssys terns. Im Interesse einer moglichst ho- 
hen Anlagenverfugbarkeit wird bei der Erfindung statt 
dessen bei Auftreten eines Peripheriefehlers der betref- 
fende TeilprozeB von den Teilprozessen TP\ — TP„ 
50 (Fig. 2) des Processes passiviert und ein entsprechender 
Ersatz-TeilprozeB aktiviert BeispielrSteuerung mehre- 
rer Olbrenner fur einen Dampfkessel. Ein sicherheitsge- 
richtetes Automatisierungsgerat steuert mehrere Ol- 
brenner eines Dampfkessels. Jeder Brenner stellt, mit 
55 seinen Ein- und Ausgangssignalen einen TeilprozeB dar. 
Die oben genannte Normalreaktion wurde, bei Auftre- 
ten eines einzigen Fehlers, z. B. in einer Peripheriebau- 
gruppe, zur Stillsetzung aller von diesem Automatisie- 
rungsgerat gesteuerten Olbrenner fuhren. Bei Verwen- 
60 dung des erfindungsgemaBen Verfahrens wird dagegen 
nur der betroffene Olbrenner durch das Betriebssystem 
sicherheitstechnisch isoliert und ein Ersatzbrenner zu- 
geschaltet. Der GesamtprozeB (Dampfkessel) lauft un- 
gestort weiter. 

65 Ziel einer ProzeBsignalredundierung ist es, Periphe- 
riefehler mittels Signalvergleich zu erkennen. Einbau- 
oder Bauteiltoleranzen fuhren in der Regel dazu, daB 
redundante Eingangssignale sich nicht zeitgleich veran- 
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' 5 dern (Beispiel: Zwei getrennte Endschalter). Die Be- ''■*/. -.y^;- ' vv '""5> ^ I" : ' • V 

riicksichtigung derartiger Signal! aufzei tun terschiede V '. ;. ; ; ' . - . ; - 

oblag bisher dem Anwender. Das Sicherheitsrisiko, be- /*• ,v . 

dingtdurch Programmierfehler wird dadurch eriioht 
- Mit dem erfindungsgemaBen Verfahren erfolgt dage- 5 

c gen die Unterscheidung zwischen zulassigen zeitlichen 

Signaldiskrepanzen und echten Peripheriefehlern durch 
das Betriebssystem. Statt Programmierung wird die ma- 
ximal zulassige Diskrepanzzeit jedes Eingangssignals 
. dern Betriebssystem per Projektiening mitgeteik (Para- 10 
metrierung) und auf Plausibiiitat gepruft Die Wahr- 
scheinlichkeit eines Anwenderfehlers wird dadurch 
deutlich erniedrigt und der Programmieraufwand ver- 
mindert 

Haufig sind nicht alle ProzeBsignale sicherheitsrele- 15 
vant Diese konnen einkanalig am Automatisierungsge- 
rat aufgelegt werden. Bekannte zweckmaBige Automa- 
tisierungssysteme lassen eine Mischung von zwei- und 
einkanaliger Peripherie, wie es die EiTmdung vorsieht, in 
einem Gerat nicht zil Bei dem erfindungsgemaBen Ver- 20 
fahren wird dem Betriebssystem per Parametrierung 
der Signaltyp (ein- oder zweikanalig) mitgeteilL Das Be- 
triebssystem behandelt die ProzeBsignale entsprechend 
ihrem Typ und verteilt alle Eingangssignale an die Teil- 
systeme. 25 

Aus sicherheitstechnischen Grunden sind die Eingriff- 
moglichkeiten in laufende Gerate stark eingeschrankt 
So ist das Andern von Daten und Befehlen beim Sicher- 
heitsbetrieb unzulassig. Derartige Hilfsmittel sind aber 
zur Inbetriebsetzung und zu Testzwecken unerlaBhch, 30 

Die Erfindung sieht vor, das Betriebssystem zur 
selbsttatigen Unterscheidung zwischen Test- und Si- 
cherheitsbetrieb zu ertuchtigen. Der Vorteil ist eine kur- 
zere Inbetriebsetzungsdauer. 

Es wird hierzu der Typ des im Gerat gesteckten An- 35 
wenderprogrammspeichers ausgenutzt: Sicherheitsbe- 
trieb liegt immer dann vor, wenn das Anwenderpro- 
gramm in einem nicht fluchtigen Speicher (EPROM) 
geladen ist. Das Betriebssystem wird nun erfindungsge- 
maB dazu eingerichtet, daB es den Speichertyp der 40 
Quelle des Anwenderprogramms erkennt und somit das 
den Sicherheitsbetrieb steuernde Anwenderprogramm 
von den fur Testzwecke bestimmten Programmer!, wel- 
che in fluchtige Speicher (RAM) geladen werden, unter- 
scheiden kann. 45 
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